街角那个不起眼的小盒子,红灯一闪一闪,平时谁也不会多看一眼。它盯着车流,盯着人来人往,遇上小偷小摸、交通剐蹭,它就是铁面无私的"证人"。大家早就习惯了它的存在,甚至觉得有它在身边踏实——出了事,调监控就行。可很少有人琢磨过另一件事:这双"眼睛"看得见路上的车,会不会也被别人借去,看清楚不该看的东西?
镜头本身不会撒谎,但镜头背后的那根网线,却可能通向千里之外的某个陌生人。和平年头,它是守夜人;真要起了风波,它说不定就成了里应外合的内鬼。笔者今天想聊的,正是这件让人后背发凉的事——当满大街的摄像头连成一张大网,这张网到底是护着自己人,还是会在关键时刻反咬一口。
俄乌战场早就把这层窗户纸捅破了。打仗这事,过去拼的是钢铁洪流,现在多了一条看不见的战线。早在2024年1月,乌克兰官方就发出过警告,称俄罗斯军方入侵了首都基辅的2台安防摄像头,用于监视乌克兰的基础设施目标与防空系统。乌克兰国家安全局在公告中表示,侵略者利用这些摄像头收集数据,为针对基辅的打击行动做准备,并调整打击参数。本来是看自家楼下车位的小摄像头,转个方向,对面的防空阵地全暴露在镜头里,导弹往哪儿砸,可能就是它"指"的路。乌方赶紧亡羊补牢,乌克兰国家安全局称已采取措施禁用了1万台可能被俄军利用的联网摄像头,同时呼吁街道网络摄像头的所有者停止设备的在线直播。
乌克兰自己也没闲着,转头就拿这招回敬。乌克兰军方使用水下无人机炸毁克里米亚塞瓦斯托波尔港内一艘俄军潜艇后发布了袭击视频,防务媒体《军事时报》指出,这段视频的画面视角极有可能来自一台被入侵的安防摄像头。更直接的是,英国广播公司针对乌克兰黑客组织"One Fist"的报道指出,该组织因入侵摄像头、监控俄军经刻赤大桥的物资运输行动等成果,获得了乌克兰政府的官方表彰。你劫我的,我黑你的,两边在镜头里打得不亦乐乎。
要说这事到现在有多疯,看看最近几个月就明白了。2026年3月,一名亲俄黑客对外放话,说他已经把乌克兰各地的监控摄像头一锅端了。该黑客称经过数月的准备和实施,得以访问超过六千台行政、军事和市政设备,这些数据有助于追踪乌克兰的武器装备和乌军士兵,以及乌克兰政府和强力部门人员的动向。更猛的还在后头。2026年6月,一场代号"破碎字节"的大规模攻击在东欧和乌克兰铺开,俄罗斯黑客控制了5万个摄像头,银行、军工企业、关键基础设施遭到攻击。从两台到六千台,再到五万台,这增长速度本身就够吓人的。
为什么这招这么火?说白了就俩字:便宜。利用联网民用摄像头的安全漏洞实施侦察,正逐渐成为全球各国武装力量的标准作战流程,这是一种成本极低、获取门槛极小,却能让作战方对数十万公里外的目标获得实时视野的侦察手段。有军事研究者说得很直白,征用民用摄像网络的优势体现在部署覆盖和成本两方面,对手早已为你完成了前期工作,他们在城市的各个角落都安装了摄像头。人家费心费力布下的天罗地网,攻进去之后反倒成了敌人现成的"千里眼",一分钱前期成本都省了。
中东那边的剧本更让人脊背发凉。今年早些时候,《金融时报》报道,以色列军方已接入伊朗首都德黑兰"几乎所有"的交通摄像头,并与美国中央情报局合作,利用这些摄像头锁定目标发动空袭。以色列情报人员甚至放话,"我们对德黑兰的了解,就像了解耶路撒冷一样。"这底气哪来的?很大一部分就是从对方城里那些联网摄像头里"看"来的。而伊朗也用同一套打法回敬,在以伊冲突期间,伊朗黑客利用民用摄像头系统针对以色列目标,甚至曾在对一家科研机构发动导弹袭击前,入侵了该机构对面的一台街道摄像头。
漏洞这东西,往往不在多高深的技术,而在最基础的疏忽。中东那批被黑的摄像头就是活生生的例子。早在去年6月以色列与伊朗为期12天的冲突期间,就监测到了伊朗方面发起的同类摄像头定向攻击。而黑客用的招数其实一点都不高明——网络安全企业发现,黑客试图利用安防摄像头的5个不同安全漏洞实现设备完全接管,而这5个漏洞均无复杂的技术门槛,全部都已在厂商多年前发布的固件更新中完成修复,其中最早的一个漏洞在2017年就已被披露并修复。看明白了吗?厂家早把补丁发好了,可装在墙上的设备压根没人去更新,等于大门敞开着请贼进来。
说到这儿,问题就该落到自己头上了。中国是全世界摄像头铺得最密的地方,这点没人否认。平日里这套系统的好处实打实——抓逃犯、查事故、震慑坏人,老百姓出门心里有底。可越是密集,隐患的口子也越大。专门做网络空间测绘的机构曾经盘过乌克兰的家底,结果触目惊心:在乌克兰境内,至少有21.6万个商用摄像头的配置页面被暴露在互联网上,涉及6.7万多个IP地址,客观上形成了一个庞大的、潜在的情报泄露网络。更要命的是,这些摄像头中有相当一部分存在已知安全漏洞,随时可以被入侵控制,更有部分完全没有任何登录验证限制,输入IP地址就能直接看实时画面。
那中国的情况怎么样?同一家机构顺手也测了自己家,数据分量不轻——已在国内的网络空间中探测到400多万商用摄像头的配置页面,1500多万商用路由器配置页面,数量是乌克兰的数十倍。家底厚是好事,可一旦这些设备没看管好,暴露的口子也成倍地多。说白了,摄像头装得越多,要是疏于防护,等于给对手准备的"现成视野"也越多。
不过这里得说句公道话,普通人家里的网络其实没那么容易被外面摸进来。国内三大运营商对家庭联网设备和系统都做了有效的隐藏保护,黑客在互联网一侧通常无法直接探测到家庭内部的网络环境,这使得普通个人的家用网络比较安全。真正让人揪心的,是那些数量庞大、又疏于管理的商用和政企设备。在国与国之间的网络战中,所有暴露在互联网上的基础设施都有可能成为敌方攻击和破坏的重点目标,互联网基础设施保护不当,甚至有可能成为国家战争情报的泄露点。
镜头要是真在关键时刻被人借了去,能闯多大祸?俄乌那边已经反复演示过了。沿海的港口、铁路枢纽、机场这些要害地方,要是镜头被人盯上,部队的调动、物资的流向就全摊在阳光下,对手打起来自然又快又准。被入侵的地面摄像头,还能提供卫星与无人机的俯瞰视角无法实现的地面视角与观察维度。天上的卫星看不清的死角,地面这双"眼睛"一清二楚,这才是它最阴险的地方。
正因为看清了这里头的利害,国家层面已经开始扎篱笆。2025年4月1日起,《公共安全视频图像信息系统管理条例》正式施行,这部条例旨在规范公共安全视频系统管理,维护公共安全,保护个人隐私和个人信息权益,共34条。这部法规不光管隐私,也实打实盯着安全这根弦。它把责任落到了每个环节,明确了公共安全视频系统管理单位的运行安全职责,电信业务经营者对视频图像信息传输的安全管理义务,以及设计、施工、检验、验收、维护等单位对视频图像信息的保密义务。过去的乱象是"建而未联、建了没人管",现在白纸黑字把每一道关口的人都摁在了位置上。
这部条例还特意立了规矩防外人钻空子。它要求建设、使用公共安全视频系统应当坚持统筹规划、合理适度、标准引领、安全可控,不得危害国家安全、公共利益。同时给数据上了保险,视频图像信息应保存不少于30日,并要求管理单位建立健全管理制度,完善防攻击、防入侵、防病毒等措施。把"安全可控""不许被钻空子"写进法规,针对的正是镜头被借去当枪使的风险。说到底,养兵千日用兵一时,平时把功夫下足,真到了风浪来临那一刻才不至于抓瞎。
这场仗最值得琢磨的地方,恰恰在于它的反差。同一台摄像头,今天替你守夜,明天就可能给敌人带路,变脸只在一念之间——区别仅仅在于那根网线管得严不严、那块补丁打得勤不勤。科技这把刀,握得稳就削铁如泥,松了手就割伤自己。遍布城乡的镜头本是国泰民安的底气,可底气能不能一直是底气,要看每一个角落的螺丝有没有拧紧。把篱笆扎在风浪来临之前,让这双眼睛永远只朝着该看的方向,这恐怕才是俄乌战火隔着千里之外,给所有人上的最实在的一课。
热门跟贴